Ксиаоми
Ксиаоми паметни телефони опсежно прикупљају корисничке податке. Штавише, све се прати и шаље на сервере чији је домаћин Алибаба у Сингапуру и Русији. Ксиаоми изнајмљује ове сервере и има им потпун приступ. Након што су се такви извештаји појавили и стекли широку циркулацију на кључним тржиштима Ксиаомија, кинески гигант за паметне телефоне издао је изјаву којом покушава да разјасни зашто и како се прикупљени подаци користе.
Ксиаомијеви паметни телефони, без обзира на подбренд, наводно су приметили да прикупљају велике количине корисничких података. Занимљиво је да Ксиаоми није оповргнуо тврдње и прихватио да његови Андроид паметни телефони заиста прикупљају корисничке податке и информације. Међутим, путем блога на званичном Ксиаоми блогу , компанија је понудила детаљно објашњење о методама, техникама обраде и коришћењу података који се сливају на сервере којима Ксиаоми има пуни приступ.
Ксиаоми прикупља и прикупља податке о корисницима, али то исто анонимује за побољшање аналитике и услуга?
Истраживач безбедности Габи Цирлиг изнео је прилично забрињавајућу тврдњу да је уређај са ознаком Ксиаоми који је користио пратио навике коришћења, а сви подаци су наводно слани серверима чији је домаћин Алибаба у Сингапуру и Русији, а које је Ксиаоми изнајмио. Количина, учесталост и обим података које је Ксиаоми прикупио били су још више забрињавајући.
Према Цирлиг-у, подаци који се прикупљају укључују мапе које је отворио на телефону, екране до којих је превукао, укључујући статусну траку и мени подешавања. Ксиаоми је чак пратио коју музику је Цирлиг слушао користећи задати музички плејер на свом Редми телефону. Истраживач безбедности је такође тврдио да је сваки пут када је прегледао веб користећи Ксиаоми-јеву подразумевану апликацију за прегледач, водио евиденцију свих веб локација које је посетио, упита претраживача и ставки прегледаних на информативном каналу прегледача.
Па, није изненађујуће што Ксиаоми кажу да грешимо што њихови прегледачи шаљу све ваше податке у режиму без архивирања.
Дакле, ево доказа.
Прво преузета апликација била је „Минт Бровсер“. Добијено је директно из Плаи продавнице, јуче. хттпс://т.цо/ГЈедДен5Б1 пиц.твиттер.цом/лИзКдЦзАвКс
- Цибергиббонс (@цибергиббонс) 30. априла 2020
Иначе, ово се не чини изолованим инцидентом. Други истраживач безбедности Андрев Тиернеи открио је исто понашање у Ксиаомијевим Ми Бровсер Про и Минт Бровсер. Оба прегледача су доступна као бесплатна за преузимање и коришћење у Андроид-овој Гоогле Плаи продавници.
Корисничке праксе прикупљања података великих технолошких компанија, компанија за друштвене медије и паметне телефоне широко су познате. Међутим, истраживачи безбедности додали су опсег политика прикупљања података. Цирлиг је тврдио да се инвазивно прикупљање података компаније Ксиаоми наставило чак и када је у прегледачу коришћен режим без архивирања.
Ксиаоми је у свом званичном блогу тврдио да темељно шифрира податке. Међутим, Цирлиг је тврдио да је лако могао да декодира и из њега пронађе читљиве информације. Занимљиво је да постоји видео који наводно открива како су подаци изложени.
Да ли Ксиаоми злоупотребљава корисничке податке које прикупља?
Ксиаоми је званично прихватио да његови Андроид паметни телефони заиста прикупљају корисничке податке. Међутим, компанија је нагласила да је потребно све релевантне и неопходне мере предострожности како би се осигурала приватност корисника. Компанија је додала да подаци у било којој фази не откривају идентитет корисника нити повезују стварне податке са корисником. Штавише, Ксиаоми је додао да прикупља, чува и обрађује податке у складу са „Индустријским стандардима“, који укључују анонимизацију и шифровање корисничких података у свим фазама.
У свом блогу, хостованом на званичној веб локацији Ми, Ксиаоми је покушао да објасни како прикупља, складишти, обрађује и анализира податке. На самом почетку, Ксиаоми објашњава да прикупља корисничке податке „како би понудио најбоље могуће корисничко искуство, повећао компатибилност између оперативног система и различитих апликација“. Компанија је додала да обезбеђује релевантне дозволе и сагласност корисника пре прикупљања података. Другим речима, Ксиаоми тврди да крајњи корисници дозвољавају све праксе прикупљања података.
Ксиаоми је управо објавио пост на блогу као одговор на извештај @ибламетом и @цибергиббонс хттпс://т.цо/Икв5ипИИцу
Контекст: хттпс://т.цо/ЦКСБКСП5еЦвЛ
- Мисхаал Рахман (@МисхаалРахман) 1. маја 2020
Као индустријска пракса, постоје две врсте података које Ксиаоми сервери прикупљају. Подаци као што су системске информације, преференције, коришћење карактеристика корисничког интерфејса, одзив, перформансе, коришћење меморије и извештаји о падовима се обједињују и анонимирају. Ово осигурава да апликације независних произвођача, програмери или креатори злонамерног софтвера не могу повезати податке са појединачним корисницима чак и ако некако успеју да им приступе. Друга врста података укључује податке о прегледавању корисника (историју) које корисник повезује са Ми налогом. И ти подаци се прикупљају и чувају коришћењем безбедних метода шифровања, уверен је Ксиаоми.
Изјава Ксиаомија: хттпс://т.цо/ТПлД8ОИхБ3
Да ли су корисници заиста пристали на информисан начин? Сумњам. Поред тога, „не повезујемо ниједну личну информацију са било којим од ових података“ не говори пуно, све док они не откривају своју дефиницију ПИИ-а. пиц.твиттер.цом/р61ЦЦ71кБЦ
- Волфие Цхристл (@ВолфиеЦхристл) 1. маја 2020
Што се тиче приступа, Ксиаоми је тврдио да је обезбедио четири сертификата који су потврдили праксу безбедности и приватности Ксиаомијевог паметног телефона и његових подразумеваних апликација. То су ИСО27001: 2013, ИСО27018: 2014, ИСО29151: 2017 и ТРУСТе.
Ксиаоми се удружио са кинеском покретачком компанијом Сенсорс Аналитицс. Компанија тврди да пружа „детаљну платформу за анализу понашања корисника и професионалне консултантске услуге“. Ксиаоми је потврдио да сарађује са компанијом. Међутим, компанија је тврдила да се сви прикупљени подаци чувају на сопственим серверима и не деле се са било којом независном компанијом.
Ознаке Ксиаоми
